23:59
28/5/2012

Naukowcy z Cambridge przeanalizowali 70M haseł do kont użytkowników Yahoo. W dokumencie opisana jest m.in. metodologia jaka została opracowana do badania zgłożoności haseł, porównanie jej z innymi badaniami, opis w jaki sposób hasła były zbierane: (“bezpieczne proxy” liczące odpowiednie funkcje, ale anonimizujące informacje o użytkownikach — str. 6-7).

Yahoo logo

Badanie jest bardzo szczegółowe, żeby wycisnąć sok, zamieszczam “suche wnioski” (od str. 11):

– Jest tendencja do korzystania z mocniejszych haseł przez starszych użytkowników
– Indonezyjczycy korzystają z najsłabszych haseł; Niemcy i Koreańczycy z najlepszych
– Użytkownicy, którzy regularnie zmieniają hasła, korzystają z mocniejszych haseł. Użytkownicy, którzy zmienili hasła więcej niż 5 razy (w ciągu całej historii korzystania z konta?) należą do grupy osób, z najmocniejszymi hasłami.
– Jest słaby trend mówiący o tym, że użytkownicy, którzy skorzystali z funkcji odzyskiwania hasła przez e-mail ustawiają mocniejsze hasło
– Użytkownicy, którzy mieli zrestartowane hasło “ręcznie” po zgłoszeniu przejęcia konta, nie ustawiają haseł mocniejszych niż “średnie”
– Użytkownicy logujący się rzadko mają “lepsze” hasła
– Mocny trend mówiący o tym, że użytkownicy logujący się często z różnych miejsc mają jeszcze lepsze hasła niż logujący się rzadko
– Słaby trend mówiący o poprawie złożoności haseł w czasie
– Zmiana formularza logowania przez dodanie wymagania co najmniej 6 znaków i graficzny wskaźnik złożoności nie poprawiła znacząco złożoności haseł
– Korzystanie z usług finansowych (przechowywanie danych o karcie płatniczej) nie przekładało się znacząco na poprawę jakości hasła
– Użytkownicy, którzy przechowują więcej danych mają lepsze hasła

Wnioski dot. optymalizacji pod kątem łamania haseł:
– Niewielkie znaczenie (różnica poniżej 10%) ma optymalizacja słowników pod kątem płci
– Niewielkie znaczenie (różnica na poziomie kilku %) ma optymalizacja słowników pod kątem języka (!)

Przeczytaj także:



33 komentarzy

Dodaj komentarz
  1. Bardzo ciekawe. Dzięki.

  2. Zwłaszcza ostatni wniosek jest ciekawy.

  3. “- Niewielkie znaczenie (różnica na poziomie kilku %) ma optymalizacja słowników pod kątem języka (!)”

    Czy to znaczy, że większość userów używa haseł z angielskimi słowami? Czy można to rozumieć jakoś inaczej?

    • @Maciej – wydaje mi sie ze mozna.
      Np. Wiecej jest hasel cyferkowych, niz slownych. Badz mieszanina cyferek, znakow specjalnych, literek na tyle utrudnia zlamanie hasla, ze aktualizacja o slowa z danego jezyka prawie nic nie zmienia i odnosi sie jedynie do uzytkownikow o haslach pokroju “Zuzanna”, “kwiatuszek” czy inny “amorek”

    • 123456 pisze się tak samo w każdym języku? ;-)

    • qwerty też

    • To raczej oznacza, że większość użytkowników yahoo to Amerykanie.

  4. Mnie ciekawi czy podczas tych badań wzięto pod uwagę to, że np. Niemcy używają alfabetu który ma więcej znaków niż np. angielski.

    • A hasło może zawierać te dodatkowe znaki?

    • Chyba może. Polskie na pewno można, więc dlaczego nie niemieckie?
      Chciałam przetestować hasło jedno czy wytrzyma (a raczej czy przyjmie) japońskie znaki lub rosyjskie, ale ostatecznie zrezygnowałam (bo system ogólnie porypany, więc już tak nie kombinowałam bardzo… choć muszę spróbować). I dałam najwyżej polskie. ;)
      Znaki nienależące do alfabetu łacińskiego są uznawane za znaki specjalne.

  5. “Użytkownicy, którzy zmienili hasła więcej niż 5 razy (w ciągu całej historii korzystania z konta?) należą do grupy osób, z najmocniejszymi hasłami.”
    Zamieńmy miejscami domniemany skutek z przyczyną. Użytkownicy zapewne wymyślają tak mocne hasła, że nie mogą ich spamiętać, toteż zmieniają je ciągle za drobną pomocą opcji przypominania/resetu hasła ;)

  6. Najciekawsze kto im sprzedał bazę i historię kont do przeprowadzania badań, mając takie dane łatwo można atakować słownikowo

    • Odpowiedzi na te nurtujące Cię pytania znajdziesz w podlinkowanym PDF-ie. Nie zapomnij wysłać autorom badania e-maila, że są parszywymi złodziejami ;)

  7. “zgłożoności”

  8. Metodyka nie metodologia

  9. “Naukowcy z Cambridge przeanalizowali 70M haseł do kont użytkowników Yahoo”

    Co by znaczyło że yahoo trzyma hasła plaintextem zamiast hashy :/ Mam mieszane uczcucia

    • Czy wy serio nie czytacie podlinkowanych PDF-ów przed komentowaniem? :)

    • Zdarza się, ale za to nigdy nie otwieramy podlinkowanych PDFów za pomocą Adobe Readera…

    • Mi MetaCert blokuje twierdząc, że to porno.

  10. Wniosek drugi ciekawy, szczególnie w odniesieniu do Soforta i jego popularności wśród Niemców ;) Z jednej strony świadomość (?) potrzeby posiadania mocnego hasła, a z drugiej brak oporów przed “chwaleniem się” nim przed osobami trzecimi. Ten fenomen też należałoby zbadać…

  11. fakt, że użytkownicy yahoo to też jest jakaś ograniczona populacja i np. polaków tam jest niewiele (mała próbka więc), także stąd mogą też te wnioski na ten temat wynikać

  12. “– Jest słaby trend mówiący o tym, że użytkownicy, którzy skorzystali z funkcji odzyskiwania hasła przez e-mail ustawiają mocniejsze hasło”
    Zapominaja, to i odzyskuja :D

    “– Użytkownicy logujący się rzadko mają “lepsze” hasła”
    Bo nie maja tego parcia na proste haslo, latwe do wpisywania 10x dziennie.

    • ad 2: Hm, u mnie jest na odwrót. Nie wiem, jak inni, ale ja wolę wymyślać nieco bardziej skomplikowane hasła do serwisów, z których często korzystam. Wchodzi w palce i potem jakoś samo się wpisuje. ;)

    • zapominają, odzyskują, i znowu ustawiają skomplikowane.

  13. literówka: *zgłożoności* haseł

  14. Bzdury!

  15. hańba!

  16. Zdradzeni o świcie!

  17. Hasła dodawane w hashbreaker.pl bardzo często zawierają w sobie słowo dupa ;) Ciekawe czy polskie konta w yahoo też tak mają bo w raporcie nic o tym nie wspominają ;p

  18. Ostatnio na yahoo pojawił się botnet przejmujący konta i masowo rozsyłający linki z reklamami do wszystkich z książki adresowej.

  19. No niestety padłem ofiarą botneta ;( . Hasło zmieniłem na silniejsze z polskimi znakami,ciekaw jestem czy poradzi sobie ten botnet ?.

  20. Dzięki, ciekawe : )
    ma ktoś bardziej szczegółowy raport tych badań?

  21. @Piotr Konieczny (mod/admin)
    w Lead;zie artykułu 2-ie zdanie “zgłożoności” -> złożoności

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: